Einfach registriert: Hacker dringt in internes System von McDonald's ein
Ein unter dem Pseudonym BobDaHacker bekannter Sicherheitsforscher, der erst kürzlich Sicherheitslücken in einer App des Sexspielzeugherstellers Lovense offengelegt hatte , konnte nach eigenen Angaben in ein internes System von McDonald's eindringen. Wie der Forscher in einem Blogbeitrag(öffnet im neuen Fenster) schildert, musste er sich dafür lediglich als neuer Nutzer registrieren. Danach erhielt er Zugriff auf vertrauliche Unterlagen.
Zielobjekt der Untersuchungen von BobDaHacker war das Feel-Good Design Hub(öffnet im neuen Fenster) der Fastfood-Kette. Dabei handelt es sich um eine zentrale Anlaufstelle für Marketingmaterialien, die weltweit von zahlreichen McDonald's-Mitarbeitern und externen Partnern genutzt wird.
Nach Angaben des Forschers war dieses System ursprünglich nur durch ein clientseitig geprüftes Passwort geschützt. Später besserte McDonald's nach und implementierte ein Authentifizierungssystem mit unterschiedlichen Anmeldepfaden für Mitarbeiter und externe Partner. Doch sonderlich gut abgesichert war das offenbar weiterhin nicht.
Jeder konnte sich registrieren
Wie BobDaHacker erklärt, musste er am Ende der Anmelde-URL lediglich den Begriff "login" durch "register" austauschen. Nach Absenden des API-Requests lieferte ihm das Backend Fehlermeldungen, die ihm verrieten, welche Datenfelder er für eine erfolgreiche Registrierung übergeben musste. Neben der E-Mail-Adresse waren das lediglich ein Vorname und ein Nachname.
Also übergab der Forscher diese Daten und erhielt sogleich eine E-Mail, die ihm die erfolgreiche Registrierung bestätigte und ihm sein Passwort im Klartext übergab. Damit konnte er sich auf der Plattform anmelden und erhielt Zugriff auf Unterlagen, die McDonald's selbst gegenüber seinen Partnern als "vertrauliche und geschützte Informationen" für den "internen Gebrauch" kommuniziert.
Innerhalb des Systems fand BobDaHacker aber noch weitere Sicherheitsprobleme. Er konnte beispielsweise aus dem Javascript-Code des Webportals einen API-Schlüssel auslesen, der es ihm ermöglichte, eine Liste aller Benutzer abzufragen und über die Infrastruktur von McDonald's offizielle Mails im Namen der Fastfood-Kette zu verschicken – ideal für effektive Phishing-Angriffe.
Komplizierte Kontaktaufnahme
In dem Blogbeitrag(öffnet im neuen Fenster) des Forschers werden noch weitere Sicherheitsprobleme erläutert. BobDaHacker meldete all seine Funde nach eigenen Angaben an McDonald's. Allerdings war dieser Schritt wohl besonders herausfordernd. "McDonald's hatte eine security.txt-Datei mit Kontaktinformationen. Aber die haben sie zwei Monate nach dem Hinzufügen wieder entfernt" , schreibt der Forscher.
Er habe die Datei zwar über die Wayback Machine noch auffinden können, die darin enthaltenen Daten seien jedoch veraltet gewesen. Anschließend habe er auf Linkedin nach Security-Personal der Fastfood-Kette gesucht und versucht, sich durch Anrufe bei der Zentrale von McDonald's entsprechend verbinden zu lassen.
"Die Hotline der Zentrale fragt Sie lediglich nach dem Namen der Person, mit der Sie verbunden werden möchten. Also habe ich weiter angerufen und zufällige Namen von Sicherheitsmitarbeitern genannt, bis mich schließlich jemand zurückgerufen und mir eine konkrete Stelle genannt hat, an die ich diese Probleme melden konnte" , erklärt BobDaHacker diesbezüglich. Letztendlich sollen zumindest "die meisten" der von dem Forscher gemeldeten Schwachstellen behoben worden sein.
Erst vor wenigen Wochen war McDonald's für die unzureichende Absicherung von Bewerberdaten in die Schlagzeilen geraten . Forscher fanden heraus, dass sie auf der KI-basierten Bewerberplattform McHire mit dem Passwort "123456" in ein Admin-Konto eindringen konnten, das ihnen weitreichende Zugriffsmöglichkeiten verlieh.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.